LastPassのデータ漏洩はどのように発生したのか？その回避策とは

2022年から2023年にかけて発生したLastPassのデータ漏洩事件は、高度なサイバー攻撃が長期的なセキュリティの惨事を引き起こす可能性があることを私たちに思い出させます。本記事では、この事件の全容、その影響、そしてセキュリティ体制の強化を目指す組織にとっての重要な教訓を詳細に分析します。

数値で見る影響#

このデータ漏洩による影響は深刻であり、長期にわたって続いています：

• 3,300万人のユーザーが影響を受けた
• 25人以上の被害者から440万ドルが盗まれた
• 1週間で500万ドルが盗まれたと報告されている
• 暗号資産（仮想通貨）で1,500万ドルが盗まれた

重要なポイント#

• 1つの開発者アカウントが侵害されたことで、3,300万人のLastPassユーザーに影響を及ぼすデータ漏洩につながった
• 攻撃者は暗号化されたパスワードボルト（保管庫）と顧客情報へのアクセスを獲得した
• このデータ漏洩に関連する暗号資産の窃盗で1,500万ドル以上が盗まれた
• この事件は、リモートワークのセキュリティとインシデント対応における重大な脆弱性を浮き彫りにした

最初の侵害 - 2022年8月#

このデータ漏洩は、1つの侵害された開発者アカウントを通じて、攻撃者がLastPassの開発環境に不正アクセスしたことから始まりました。この段階で、攻撃者は以下を取得しました：

• LastPassのソースコードの一部
• 独自の技術情報
• 開発環境のリソースへのアクセス

事態のエスカレーション - 2022年11月・12月#

当初は封じ込められたように見えた事態は、攻撃者が盗んだ情報を悪用したことで急速に悪化しました：

• LastPassのサードパーティ製クラウドストレージサービスへのアクセス
• 顧客のボルトデータのバックアップコピーの取得
• 暗号化されていない顧客のアカウント情報の侵害

危機的な展開 - 2023年3月#

LastPassの驚くべき報告により、攻撃者が以下の行動をとっていたことが明らかになりました：

• シニアDevOpsエンジニアの自宅コンピュータを侵害した
• サードパーティ製メディアソフトウェアの脆弱性を悪用した
• キーロガー型のマルウェアを展開し、マスターパスワードを傍受した
• 重要な復号キーへのアクセスを獲得した

どのようなデータが漏洩したのか？#

顧客情報#

• 企業名
• エンドユーザー名
• 請求先住所
• メールアドレス
• 電話番号
• IPアドレス

技術データ#

• 顧客ボルトのバックアップ
• DevOpsのシークレット情報
• クラウドベースのバックアップストレージ
• MFA / フェデレーションデータベースのバックアップ

組織にとって必須のセキュリティの教訓#

1. 堅牢なネットワークセグメンテーションの実装#

• 重要なシステムとデータを分離する
• 異なるアクセスレベルを持つセキュリティゾーンを作成する
• セグメント間で厳格なアクセス制御を実施する
• ネットワークセグメント間のトラフィックを監視する

2. リモートワークのセキュリティ強化#

• 在宅勤務用デバイスに関する明確なポリシーを策定する
• 業務デバイスへの個人的なソフトウェアのインストールを制限する
• 堅牢なエンドポイント保護を導入する
• リモートワーク環境の定期的なセキュリティ監査を実施する

3. インシデント対応とコミュニケーションの改善#

• 明確なインシデント対応手順を策定する
• ステークホルダーとの透明性のあるコミュニケーションを維持する
• セキュリティインシデントを迅速に文書化し、更新する
• 進行中のインシデントについて定期的な最新情報を提供する

4. パスワードおよびアクセス管理の強化#

• すべてのシステムで多要素認証（MFA）を導入する
• アカウントごとに強力で一意のパスワードを要求する
• 定期的なパスワードのローテーションとセキュリティ監査を実施する
• 堅牢なセキュリティ機能を備えたパスワードマネージャーを使用する

組織向けの予防措置#

1. 技術的対策#

• ゼロトラストアーキテクチャを導入する
• 高度なエンドポイント保護を展開する
• 定期的なセキュリティ評価とペネトレーションテストを実施する
• 継続的な監視とロギングを行う

2. 管理的対策#

• 従業員に対する定期的なセキュリティトレーニングを実施する
• 明確なセキュリティポリシーと手順を策定する
• ベンダーのリスク管理を行う
• インシデント対応計画を策定する

おわりに#

LastPassのデータ漏洩事件は、包括的なセキュリティ対策と適切なインシデント対応の重要性を学ぶ上で重要な教訓となります。組織はセキュリティに対して積極的に取り組み、潜在的なデータ漏洩に備えながら複数層の保護を実装する必要があります。この事件から学ぶことで、企業は自社の資産をより強固に保護し、顧客との信頼関係を維持することができます。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

LastPassのデータ漏洩では、攻撃者はどのようにして開発者アカウントから顧客ボルトへのアクセスへとエスカレーションしたのですか？#

攻撃者は、2022年8月にLastPassの開発環境から盗んだソースコードや技術情報を利用し、顧客のボルトのバックアップを保存しているサードパーティのクラウドストレージサービスにアクセスしました。この多段階にわたるエスカレーションは数か月にわたって進行し、2023年初頭にその全容が公表されました。

データ漏洩の後でも、LastPassの暗号化されたボルトが依然として危険にさらされていると考えられたのはなぜですか？#

攻撃者は、シニアDevOpsエンジニアの自宅コンピュータにキーロガーを展開することで、暗号化されたボルトのバックアップと、さらに重要なことにその復号キーの両方を取得したためです。復号キーと並行してマスターパスワードも傍受されたことにより、暗号化だけでは顧客データを完全に保護できない状態になっていました。

LastPassのデータ漏洩を悪化させたリモートワークのセキュリティ上の失敗は何ですか？#

シニアDevOpsエンジニアの個人の自宅コンピュータが、サードパーティ製メディアソフトウェアの脆弱性を突いて侵害されたことです。これは、リモートワークデバイス向けの強固なエンドポイント保護ポリシーが本来防ぐべきリスクでした。個人的なソフトウェアのインストール制限や、自宅環境のセキュリティ監査の徹底が重要な緩和策となります。

2022年から2023年のLastPassのデータ漏洩で暴露されたデータは、具体的にどのような種類のものですか？#

漏洩したデータは2つのカテゴリーに及びます。1つは名前、請求先住所、メールアドレス、電話番号、IPアドレスなどの顧客情報で、もう1つは顧客ボルトのバックアップ、DevOpsのシークレット情報、クラウドベースのバックアップストレージ、MFAやフェデレーションデータベースのバックアップを含む技術データです。このような個人データとインフラストラクチャデータの組み合わせにより、このデータ漏洩は特に深刻な被害をもたらしました。